#ciscotalos — Public Fediverse posts on home.social

Agnieszka Serafinowicz @[email protected] · 2026-05-07 · 16:00 UTC

Raport Cisco Talos: hakerzy rzadziej szukają luk, a częściej nas samych. AI napędza nową falę phishingu

Cyberprzestępcy idą na łatwiznę – i, co gorsza, to działa.

Zamiast męczyć się ze skomplikowanymi podatnościami technicznymi, coraz częściej wykorzystują sztuczną inteligencję, by w kilka minut stworzyć pułapkę, w którą złapie się żywy człowiek. Najnowszy raport Cisco Talos za pierwszy kwartał 2026 roku pokazuje, że haker rzadziej musi dziś umieć programować, a częściej musi po prostu potrafić napisać dobry prompt.

AI jako „stażysta” w służbie cyberzbrodni

Największą zmianą, jaką odnotowali eksperci, jest radykalne obniżenie progu wejścia do świata cyberprzestępczości. Dzięki narzędziom AI i platformom typu „no-code”, nawet amatorzy mogą generować wiarygodne strony phishingowe w czasie mierzonym w minutach. Cały proces – od stworzenia fałszywego panelu logowania do Outlooka, po automatyczne przesyłanie wykradzionych haseł do arkuszy Google – odbywa się bez napisania ani jednej linijki kodu. To sprawia, że ataki są masowe i wyglądają profesjonalnie jak nigdy wcześniej.

Powrót króla: phishing znów na szczycie

Efekt jest widoczny w liczbach. Po roku przerwy phishing powrócił na pierwsze miejsce jako główny sposób włamywania się do firm, odpowiadając za ponad jedną trzecią wszystkich incydentów. To potężna zmiana warty – jeszcze rok temu hakerzy skupiali się głównie na szukaniu luk w oprogramowaniu (jak słynny ToolShell). Dziś ten wskaźnik drastycznie spadł, bo prościej i taniej jest oszukać pracownika, niż łamać zabezpieczenia serwera. Marcin Klimowski z Cisco Polska mówi wprost: atakujący odchodzą od skomplikowanych technologii na rzecz skalowalnych ataków ukierunkowanych na ludzkie błędy.

MFA przestaje być tarczą niezniszczalną

Raport przynosi też zimny prysznic dla tych, którzy wierzyli, że dwuskładnikowe uwierzytelnianie (MFA) rozwiązuje wszystkie problemy. W aż 35% badanych przypadków hakerzy zdołali ominąć to zabezpieczenie. Robili to m.in. poprzez rejestrowanie własnych urządzeń zaraz po przejęciu hasła lub konfigurowanie poczty tak, by łączyła się bezpośrednio z serwerem, całkowicie omijając warstwę weryfikacji. To jasny sygnał, że samo posiadanie MFA to za mało – trzeba jeszcze pilnować, kto i co do tego systemu podpina.

Administracja i szpitale na celowniku

Kto powinien bać się najbardziej? Dane nie kłamią: administracja publiczna oraz ochrona zdrowia to sektory, w które hakerzy uderzają najchętniej (po 24% wszystkich ataków). Urzędy są celem numer jeden już trzeci kwartał z rzędu, co wynika głównie ze starszej infrastruktury i faktu, że nie mogą sobie pozwolić na przestoje. Co ciekawe, mimo tego naporu, odnotowano spadek skuteczności ransomware. Udział ataków szyfrujących dane spadł do 18%, co jest zasługą coraz sprawniejszej pracy zespołów Incident Response, które coraz częściej wyłapują intruza, zanim ten zdąży „zamknąć” system.

Wnioski dla nas są jasne: w erze AI błędy językowe czy podejrzane grafiki w mailach odchodzą do lamusa. Dziś największym zagrożeniem nie jest dziura w systemie, ale nasza własna pewność siebie i wiara w nieomylność zabezpieczeń, które hakerzy nauczyli się już obchodzić.

Koniec ślepej wiary w chmurę. Cisco buduje cyfrowe twierdze w Europie

#administracjaPubliczna #bezpieczeństwoIT #CiscoTalos #cyberbezpieczeństwo #MFA #ochronaZdrowia #phishing #ransomware #sztucznaInteligencja

#administracjapubliczna #bezpieczenstwoit #ciscotalos #cyberbezpieczenstwo #mfa #ochronazdrowia

Agnieszka Serafinowicz @[email protected] · 2025-11-13 · 19:00 UTC

Raport Cisco Talos: ransomware słabnie? Niekoniecznie, ale celuje teraz w urzędy

Trzeci kwartał 2025 roku przyniósł istotną zmianę na mapie cyberzagrożeń. Choć udział ataków ransomware spadł, cyberprzestępcy obrali nowy, wyraźny cel: sektor publiczny.

Według najnowszych danych Cisco Talos, to właśnie urzędy i instytucje samorządowe są teraz najbardziej narażone.

Najnowszy raport Cisco Talos „Incident Response Trends Q3 2025” rzuca światło na taktyki hakerów. Choć odsetek incydentów z użyciem ransomware spadł z 50% (w Q2) do 20% (w Q3), eksperci ostrzegają przed optymizmem. Zagrożenie nie znika, a jedynie ewoluuje i staje się bardziej precyzyjne.

Sektor publiczny na celowniku

Po raz pierwszy w historii analiz Talos (od 2021 r.), organizacje rządowe i samorządowe znalazły się na szczycie listy celów. Hakerzy, w tym grupy powiązane z Rosją (APT), celują w szkoły, szpitale i lokalne urzędy. Dlaczego? Często dysponują one ograniczonym budżetem na IT i przestarzałą infrastrukturą, co czyni je łatwym łupem.

Luki w aplikacjach to otwarta brama

Aż 60% wszystkich incydentów w minionym kwartale rozpoczęło się od wykorzystania luk w publicznie dostępnych aplikacjach. To gigantyczny skok (wcześniej było to poniżej 10%).

Głównym winowajcą okazały się ataki na lokalne serwery Microsoft SharePoint z wykorzystaniem łańcucha ataku ToolShell. Hakerzy działają błyskawicznie – pierwsze ataki odnotowano zaledwie dzień przed oficjalnym ostrzeżeniem Microsoftu o luce.

„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas (…) W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek” – komentuje Lexi DiScola z Cisco Talos.

MFA to za mało

Raport przynosi też niepokojące wieści dla firm polegających na uwierzytelnianiu wieloskładnikowym (MFA). Prawie jedna trzecia incydentów wiązała się z obejściem lub nadużyciem tego zabezpieczenia.

Przestępcy stosują technikę „MFA bombing” (zalewanie użytkownika powiadomieniami, aż ten dla świętego spokoju zaakceptuje logowanie) lub wykorzystują błędy w konfiguracji.

Jak się bronić?

Cisco Talos rekomenduje cztery kluczowe działania:

Błyskawiczne wdrażanie poprawek bezpieczeństwa (szczególnie dla aplikacji wystawionych do sieci).
Silną segmentację sieci (aby infekcja jednego serwera nie położyła całej firmy).
Wzmocnienie zasad MFA i monitorowanie prób logowania.
Pełną analizę logów bezpieczeństwa.

Raport Cisco: 85% polskich firm chce agentów AI. Tylko 5% jest na nie gotowych

#atakiHakerskie #ciscoTalos #cyberbezpieczenstwo #mfa #microsoftSharepoint #news #ransomware #raportBezpieczenstwa #sektorPubliczny #toolshell

#atakihakerskie #ciscotalos #cyberbezpieczenstwo #mfa #microsoftsharepoint #news

Agnieszka Serafinowicz @[email protected] · 2025-11-13 · 19:00 UTC

Raport Cisco Talos: ransomware słabnie? Niekoniecznie, ale celuje teraz w urzędy

Trzeci kwartał 2025 roku przyniósł istotną zmianę na mapie cyberzagrożeń. Choć udział ataków ransomware spadł, cyberprzestępcy obrali nowy, wyraźny cel: sektor publiczny.

Według najnowszych danych Cisco Talos, to właśnie urzędy i instytucje samorządowe są teraz najbardziej narażone.

Najnowszy raport Cisco Talos „Incident Response Trends Q3 2025” rzuca światło na taktyki hakerów. Choć odsetek incydentów z użyciem ransomware spadł z 50% (w Q2) do 20% (w Q3), eksperci ostrzegają przed optymizmem. Zagrożenie nie znika, a jedynie ewoluuje i staje się bardziej precyzyjne.

Sektor publiczny na celowniku

Po raz pierwszy w historii analiz Talos (od 2021 r.), organizacje rządowe i samorządowe znalazły się na szczycie listy celów. Hakerzy, w tym grupy powiązane z Rosją (APT), celują w szkoły, szpitale i lokalne urzędy. Dlaczego? Często dysponują one ograniczonym budżetem na IT i przestarzałą infrastrukturą, co czyni je łatwym łupem.

Luki w aplikacjach to otwarta brama

Aż 60% wszystkich incydentów w minionym kwartale rozpoczęło się od wykorzystania luk w publicznie dostępnych aplikacjach. To gigantyczny skok (wcześniej było to poniżej 10%).

Głównym winowajcą okazały się ataki na lokalne serwery Microsoft SharePoint z wykorzystaniem łańcucha ataku ToolShell. Hakerzy działają błyskawicznie – pierwsze ataki odnotowano zaledwie dzień przed oficjalnym ostrzeżeniem Microsoftu o luce.

„Cyberprzestępcy automatycznie skanują sieć w poszukiwaniu podatnych hostów, podczas gdy zespoły bezpieczeństwa walczą o czas (…) W tym kwartale ok. 15% incydentów dotyczyło infrastruktury pozbawionej aktualnych poprawek” – komentuje Lexi DiScola z Cisco Talos.

MFA to za mało

Raport przynosi też niepokojące wieści dla firm polegających na uwierzytelnianiu wieloskładnikowym (MFA). Prawie jedna trzecia incydentów wiązała się z obejściem lub nadużyciem tego zabezpieczenia.

Przestępcy stosują technikę „MFA bombing” (zalewanie użytkownika powiadomieniami, aż ten dla świętego spokoju zaakceptuje logowanie) lub wykorzystują błędy w konfiguracji.

Jak się bronić?

Cisco Talos rekomenduje cztery kluczowe działania:

Błyskawiczne wdrażanie poprawek bezpieczeństwa (szczególnie dla aplikacji wystawionych do sieci).
Silną segmentację sieci (aby infekcja jednego serwera nie położyła całej firmy).
Wzmocnienie zasad MFA i monitorowanie prób logowania.
Pełną analizę logów bezpieczeństwa.

Raport Cisco: 85% polskich firm chce agentów AI. Tylko 5% jest na nie gotowych

#atakiHakerskie #ciscoTalos #cyberbezpieczenstwo #mfa #microsoftSharepoint #news #ransomware #raportBezpieczenstwa #sektorPubliczny #toolshell

#atakihakerskie #ciscotalos #cyberbezpieczenstwo #mfa #microsoftsharepoint #news

Bytes Europe @[email protected] · 2025-10-17 · 01:22 UTC

North Korean operatives spotted using evasive techniques to steal data and cryptocurrency https://www.byteseu.com/1457595/ #CiscoTalos #Conflicts #GoogleThreatIntelligenceGroup #Jobs #malware #mandiant #NorthKorea

#northkorea #mandiant #malware #jobs #googlethreatintelligencegroup #conflicts

Pyrzout :vm: @[email protected] · 2025-10-16 · 19:30 UTC

NK’s Famous Chollima Use BeaverTail and OtterCookie Malware in Job Scam https://hackread.com/nk-famous-chollima-beavertail-ottercookie-malware/ #Cybersecurity #FmousChollima #CyberAttacks #CyberAttack #OtterCookie #BeaverTail #CiscoTalos #NorthKorea #Security #SriLanka #Malware #Chessfi #Crypto #Cisco

#cybersecurity #fmouschollima #cyberattacks #cyberattack #ottercookie #beavertail

Neustradamus :xmpp: :linux: @[email protected] · 2025-08-23 · 23:11 UTC

#ClamAV 1.5.0 RC has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #ClamWin) https://clamav.net/

#clamav #opensourceantivirus #antivirus #cisco #ciscosystems #ciscotalos

Pyrzout :vm: @[email protected] · 2025-08-15 · 08:45 UTC

New Malvertising Attack Spreads Crypto Stealing PS1Bot Malware – Source:hackread.com https://ciso2ciso.com/new-malvertising-attack-spreads-crypto-stealing-ps1bot-malware-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #cybersecurity #CryptoWallet #CiscoTalos #Hackread #security #malware #Crypto #PS1Bot

#1cybersecuritynewspost #cybersecuritynews #cybersecurity #cryptowallet #ciscotalos #hackread

Pyrzout :vm: @[email protected] · 2025-08-15 · 01:10 UTC

New Malvertising Attack Spreads Crypto Stealing PS1Bot Malware https://hackread.com/malvertising-attack-crypto-stealing-ps1bot-malware/ #Cybersecurity #CryptoWallet #CiscoTalos #Security #Malware #Crypto #PS1Bot

#cybersecurity #cryptowallet #ciscotalos #security #malware #crypto

Neustradamus :xmpp: :linux: @[email protected] · 2025-06-25 · 22:51 UTC

#ClamAV 1.0.9 (old #LTS) has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #LongTermSupport / #ClamWin) https://clamav.net/

#clamav #lts #opensourceantivirus #antivirus #cisco #ciscosystems

Neustradamus :xmpp: :linux: @[email protected] · 2025-06-25 · 22:50 UTC

#ClamAV 1.4.3 #LTS has been released (#OpenSourceAntiVirus / #AntiVirus / #Cisco / #CiscoSystems / #CiscoTalos / #Sourcefire / #OpenSource / #ClamWin) https://clamav.net/

#clamav #lts #opensourceantivirus #antivirus #cisco #ciscosystems

Pyrzout :vm: @[email protected] · 2025-06-09 · 19:40 UTC

New PathWiper Malware Strikes Ukraine’s Critical Infrastructure https://hackread.com/pathwiper-malware-hit-ukraines-critical-infrastructure/ #Cybersecurity #CyberAttacks #CyberAttack #CiscoTalos #PathWiper #Security #Malware #Ukraine #Russia #Wiper #APT

#cybersecurity #cyberattacks #cyberattack #ciscotalos #pathwiper #security

Agnieszka Serafinowicz @[email protected] · 2025-02-04 · 07:00 UTC

Cisco Talos ostrzega przed nową kampanią cyberprzestępczą wymierzoną w polskich użytkowników

Badacze z Cisco Talos odkryli nową kampanię cyberprzestępczą, aktywną od lipca 2024 roku na terenie Polski oraz Niemiec. Cyberprzestępcy podszywają się pod zaufane instytucje i firmy, które działają w sektorach finansowym, produkcyjnym i logistycznym, wykorzystując phishingowe wiadomości e-mail, które wyglądają jak autentyczne potwierdzenia zamówień lub przelewów finansowych. Te pozornie nieszkodliwe wiadomości skrywają jednak złośliwe załączniki, prowadzące do infekcji urządzeń.

Diagram przedstawiający schemat ataku. Źródło: Cisco Talos

Analiza przeprowadzona przez Cisco Talos wykazuje, że główną motywacją stojącą za działaniami atakujących są korzyści finansowe. Istnieje prawdopodobieństwo, że ataki zostały starannie zaplanowane, a ich skala może wykraczać poza pierwotnie zaatakowane regiony, co sugerują również odnotowane przypadki wiadomości w języku angielskim.

Pierwszym krokiem w ataku jest wysyłka phishingowych wiadomości e-mail, które wzbudzają zaufanie ofiar dzięki dopracowanemu wyglądowi i treści. Wiadomości te są pisane w języku polskim oraz niemieckim, co wyraźnie wskazuje na geograficzny cel kampanii. W załącznikach tych wiadomości znajdowały się pliki o rozszerzeniu „.tgz”, będące skompresowanymi archiwami TAR, które ukrywają złośliwe oprogramowanie. Kompresja przy użyciu GZIP ma na celu ominięcie systemów bezpieczeństwa stosowanych w poczcie e-mail.

Gdy odbiorca otwiera załącznik, uruchamiany jest plik wykonywalny .NET, pełniący rolę tzw. „loadera”. Ten niewielki program, po uruchomieniu, łączy się z serwerem kontrolowanym przez atakujących, skąd pobiera właściwe złośliwe oprogramowanie – w tym przypadku jest to PureCrypter. Cechą charakterystyczną tego złośliwego narzędzia jest fakt, że działa wyłącznie w pamięci operacyjnej urządzenia ofiary, co znacząco utrudnia jego wykrycie przez tradycyjne programy antywirusowe.

PureCrypter odgrywa kluczową rolę w tym ataku, ponieważ odpowiada za uruchamianie kolejnego etapu złośliwego kodu, którym jest zaawansowany backdoor nazwany przez Cisco Talos – TorNet. TorNet umożliwia cyberprzestępcom pełną kontrolę nad zainfekowanym urządzeniem, pozwalając im na przesyłanie, uruchamianie i modyfikowanie kolejnych plików. Dodatkowo, TorNet integruje się z anonimową siecią TOR, co utrudnia jego wykrycie i śledzenie działań przestępców.

Przykład wiadomości e-mail – pułapki. Źródło: Cisco Talos

Złośliwe oprogramowanie PureCrypter zostało zaprojektowane tak, aby działało w ukryciu. Po uruchomieniu na komputerze ofiary, wykorzystuje różnorodne techniki utrudniające wykrywanie i analizę. Oprogramowanie to przeprowadza m.in. testy sprawdzające obecność środowisk sandboxowych czy oprogramowania do analizy złośliwego kodu. W przypadku wykrycia takich mechanizmów, PureCrypter może zmodyfikować swoje działanie lub całkowicie zakończyć proces, aby uniknąć zidentyfikowania.

Po przejściu testów unikania wykrycia, PureCrypter uruchamia złośliwy kod, który zrzuca do pamięci urządzenia ofiary. Następnie kod ten instaluje backdoor TorNet, który otwiera szerokie możliwości dalszych działań przestępców. Dzięki wbudowanym funkcjom, TorNet pozwala na dynamiczne uruchamianie dodatkowego złośliwego kodu oraz kontrolowanie zainfekowanego systemu w czasie rzeczywistym.

Aby zwiększyć trwałość infekcji, PureCrypter modyfikuje kluczowe ustawienia systemowe, takie jak rejestr Windows, i tworzy zadania w Harmonogramie Zadań, które regularnie uruchamiają złośliwy loader. Zastosowano również technikę uruchamiania zaplanowanego zadania w systemie Windows, nawet przy niskim poziomie naładowania baterii w urządzeniu ofiary, aby zapewnić nieprzerwaną infekcję.

Atak, który zespół Cisco Talos odkrył, jest kolejnym dowodem na coraz bardziej zaawansowane metody działania cyberprzestępców. Kampania ta pokazuje, jak ważne jest zachowanie ostrożności w kontaktach e-mailowych, szczególnie w przypadku wiadomości dotyczących finansów. Warto pamiętać, aby nigdy nie otwierać podejrzanych załączników i zawsze dokładnie weryfikować nadawcę wiadomości. Działania takie mogą pomóc w uniknięciu poważnych konsekwencji związanych z atakiem tego typu.

Cisco Talos apeluje o zwiększenie czujności, aby ograniczyć skutki tej kampanii oraz przeciwdziałać kolejnym próbom ataków. Regularne aktualizacje systemów oraz korzystanie z zaawansowanych narzędzi ochrony mogą znacząco podnieść poziom bezpieczeństwa w sieci.

#atak #Cisco #CiscoTalos #cyberbezpieczeństwo #news #phishing